### La Explotación de React2Shell Conduce al Robo Masivo de Credenciales Investigadores de seguridad en **Cisco Talos** han descubierto una operación significativa de recolección de credenciales que aprovecha la vulnerabilidad React2Shell. Esta vulnerabilidad sirve como vector de infección inicial, permitiendo a los atacantes robar credenciales de bases de datos, claves privadas SSH, secretos de **Amazon Web Services (AWS)**, historial de comandos de shell, claves API de Stripe y tokens de **GitHub** a gran escala. ### UAT-10608: El Actor de Amenaza Detrás de la Campaña **Cisco Talos** ha atribuido esta campaña a un clúster de amenazas que rastrean como **UAT-10608**. La escala de la operación es considerable, con al menos 766 hosts comprometidos en varias regiones geográficas y proveedores de nube. "Post-compromiso, UAT-10608 utiliza scripts automatizados para extraer y exfiltrar credenciales de una variedad de aplicaciones, que luego se publican en su comando y control (C2)", declararon los investigadores de seguridad Asheer Malhotra y Brandon White en su informe. ### NEXUS Listener: El Framework C2 Los atacantes utilizan una infraestructura de comando y control (C2) que aloja una interfaz gráfica de usuario (GUI) basada en web llamada 'NEXUS Listener'. Esta interfaz permite a los actores de amenazas ver la información robada y obtener información analítica utilizando estadísticas precompiladas sobre las credenciales recolectadas y los hosts comprometidos. ### Dirigido a Aplicaciones Next.js La campaña se dirige principalmente a aplicaciones **Next.js** vulnerables a **CVE-2025-55182**, una falla crítica en React Server Components y el App Router de **Next.js**. Esta vulnerabilidad, con una puntuación CVSS de 10.0, permite la ejecución remota de código, facilitando el despliegue del framework de recolección NEXUS Listener. La cadena de ataque involucra un dropper que despliega un script de recolección multifase para recopilar información sensible de los sistemas comprometidos, incluyendo: * Variables de entorno * Entorno parseado en JSON desde el runtime de JS * Claves privadas SSH y authorized_keys * Historial de comandos de shell * Tokens de cuenta de servicio de Kubernetes * Configuraciones de contenedores Docker * Claves API * Credenciales temporales asociadas a roles IAM de **AWS**, **Google Cloud** y **Microsoft Azure** * Procesos en ejecución ### Escaneo Automatizado y Ataques Indiscriminados La amplitud del conjunto de víctimas sugiere el uso de técnicas de escaneo automatizado, potencialmente aprovechando servicios como **Shodan**, **Censys**, o escáneres personalizados, para identificar implementaciones de **Next.js** públicamente accesibles y vulnerables a la explotación. ### Capacidades de NEXUS Listener El núcleo del framework es una aplicación web protegida por contraseña, lo que hace que los datos robados sean accesibles para el operador a través de una GUI con capacidades de búsqueda. "La aplicación contiene un listado de varias estadísticas, incluyendo el número de hosts comprometidos y el número total de cada tipo de credencial que se extrajo con éxito de esos hosts", explicó **Talos**. "La aplicación web permite a un usuario navegar por todos los hosts comprometidos. También lista el tiempo de actividad de la aplicación en sí." La versión actual de NEXUS Listener es V3, lo que indica iteraciones de desarrollo significativas. ### Datos Sensibles Expuestos Investigadores de **Talos**, después de acceder a una instancia de NEXUS Listener no autenticada, descubrieron claves API asociadas con **Stripe**, plataformas de IA como **OpenAI**, **Anthropic** y **NVIDIA NIM**, servicios de comunicación como **SendGrid** y **Brevo**, junto con tokens de bot de **Telegram**, secretos de webhook, tokens de **GitHub** y **GitLab**, cadenas de conexión de bases de datos y otros secretos de aplicaciones. ### Mitigación y Recomendaciones Esta extensa operación de recopilación de datos subraya el potencial de los atacantes para armar hosts comprometidos para ataques de seguimiento. Se recomienda a las organizaciones: * Auditar entornos para aplicar el principio de menor privilegio. * Habilitar el escaneo de secretos. * Evitar reutilizar pares de claves SSH. * Implementar la aplicación de IMDSv2 en todas las instancias **AWS EC2**. * Rotar credenciales si se sospecha de un compromiso. ### La Perspectiva General "Más allá del valor operativo inmediato de las credenciales individuales, el conjunto de datos agregado representa un mapa detallado de la infraestructura de las organizaciones víctimas: qué servicios ejecutan, cómo están configurados, qué proveedores de nube utilizan y qué integraciones de terceros están implementadas", señalaron los investigadores. Esta inteligencia es invaluable para elaborar ataques de seguimiento dirigidos, campañas de ingeniería social o para vender acceso a otros actores de amenazas.